Trao đổi với tôi

http://www.buidao.com

2/6/10

[Security] IDS trong bảo mật hệ thống mạng

Trong bài viết này mình xin trình bày với các bạn sự khác nhau giữa các dạng Intrusion Detection, các khái niệm về các dạng đó, hiểu cách triển khai và cấu hình mỗi dạng Intrusion Detection System. Intrusion Detection có khả năng phát hiện các nguy cơ bảo mật xảy ra trong cả hệ thống mạng hay trong một hệ thống cụ thể !

Thông tin trọng yếuIntrusion Detection là thiết bị bảo mật vô cùng quan trọng. Intrusion Detection Systems (IDS) là giải pháp bảo mật được bổ sung cho Firewalls (hình dưới đây thể hiện điều đó). Một IDS có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng và có khả năng vượt qua được Firewall.
Hầu hết các vấn đề liên quan tới IDS đó là cấu hình sai, đó là việc thiết lập các thống số bị lỗi. Đó là những giao tiếp hợp lệ nhưng lại bị thiết bị IDS cảnh báo là các giao tiếp đó là các đoạn mã nguy hiểm …
Có hai dạng chính của IDS đó là: Network Based và Host Based

Hình ảnh

Network Based
Một Network-Based IDS (hình dưới đây) sẽ kiểm tra các giao tiếp trên mạng với thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thể kiểm tra nội d
ung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng tấn công khác nhau
. Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng thông (bandwidth-based) của tấn công Denied of Service (DoS).

Hình ảnh

Host Based

Một Host-Based IDS hiển thị dưới hình dưới chỉ làm nhiệm vụ giám sát và ghi lại log cho một máy chủ (host-system). Đây là dạng IDS với giới hạn chỉ giám sát và ghi lại toàn bộ những khả năng của host-system (nó bao gồm cả hệ điều hành và các ứng dụng cũng như toàn bộ service của máy chủ đó). A Host-Based IDS có khả năng phát hiện các vấn đề nếu các thông tin về máy chủ đó được giám sát và ghi lại. Là thiết bị bảo mật cho phát hiện các tấn công trực tiếp tới một máy chủ,
Hình dưới đây thể hiện một host-based IDS được hoạt động nhằm nâng cao bảo mật cho hệ điều hành.

Hình ảnh

Active Detection and Passive Detection
IDS là một hệ thống tự động giám sát trong thời gian thực (Network-Based IDS) hay xem sét lại các thiết lập giám sát (audit log) nhằm phát hiện ra các lỗi bảo mật và các tấn công trực tiếp tới hệ thống mạng hay tới một máy chủ. Có hai phương thưc cơ bản để IDS phát hiện ra các tấn công hay các nguy cơ bảo mật là: Signature Detection và Anomaly Detection. Signature Detection được hiển thị trong hình dưới đây sẽ so sánh các tình huống thực tế với các dạng tấn công (signatures) được lưu trữ trong dữ liệu của IDS. Anomaly Detection thể hiện hình bên dưới sẽ hoạt động tùy thuộc vào môi trường và có thể phát hiện ra những biến cố bất thường. Anomaly-detection dựa vào những hoạt động bình thường của hệ thống để tự động phát hiện ra những điều không bình thường và phân tích xem đó là dạng tấn công nào.
Hiển thị: Một signature-detection IDS

Hình ảnh
Một anomaly-detection IDS sử dụng công nghệ đỉnh cao để phân tích dựa trên các thuật toán cao cấp.
Hình ảnh

Một IDS active detection: phát hiện và trả lời được thiết kế để có hành động nhanh nhất nhằm giảm thiểu các nguy hiểm có thể xảy ra với hệ thống. Việc trả lời có thể như tắt máy chủ hay tắt các dịch vụ, ngắt các kết nối (được hiển thị dưới hình dưới đây).
Một IDS với passive detection sẽ trả lời nhưng không có các hành động trực tiếp chống lại các tấn công. Nó có thể ghi lại log của toàn bộ hệ thống và cảnh báo cho người quản trị hệ thống. IDS là thiết bị phát hiện tấn công DoS rất tốt; phát hiện các bugs, flaws hoặc các tính năng ẩn, và quét ports. Nhưng nó không có khả năng phát hiện các tấn công dựa trên các email chứa các đoạn mã nguy hiểm.

Hình ảnh
IDS instructing TCP reset tất cả các kết nối.

Hình ảnh
IDS yêu cầu Firewall chặn port 80 trong 60 giây để chống lại các tấn công vào máy chủ Web cài IIS.
Hình ảnh

Honey Pots
Một honey-pot được thể hiện trong hình dưới là một môi trường giả lập được thiết kế để dụ dỗ và đánh lừa các kẻ tấn công và những kẻ gây dối từ hệ thống mạng bên trong. Honey-pot thường được phát triển như một lớp đệm của hệ thống mạng với những người dùng bình thường, phân chia thành các vùng như: Internet, DMZ, Internal.
Honey-pot hoạt động như một hệ thống mạng thật, với các thông số về dữ liệu và tài nguyên nhưng thật ra nó lại được thiết kế để đánh lừa các kẻ tấn công. Những kẻ tấn công sẽ scan và phát hiện những lỗ hổng bảo mật tại honey-pot nhưng đó chỉ là môi trường ảo còn mạng thật vẫn được ngụy trang rất kỹ. Trong một hệ thống mạng yêu cầu độ an toàn cao thì sẽ có rất nhiều honey-pot với thiết lập và nội dung giống hệt nhưng hệ thống mạng thực tế, do đó kẻ tấn công sẽ rất khó khăn trong việc xác định mạng nào là mạng thật.
Việc tạo ra honey-pot nhằm cung cấp một lớp bảo vệ thông minh cho mạng của bạn chống lại các kẻ tấn công nguy hiểm. Ngoài ra nó còn tạo một môi trường giúp các nhà quản trị thực tập các bài test bảo mật nhưng vẫn không ảnh hưởng tới hệ thống thật.
Một mạng honey pot đánh lừa những kẻ tấn công một cách thông minh.

Hình ảnh

Incident Response.
Khi một vấn đề bảo mật được phát hiện, incident response sẽ phải được thiết lập. Với tác dụng là lập kế hoạch và các văn bản giảm thiểu sự bất ngờ về mức độ nguy hiểm, tạo các bản recovery cho dữ liệu một cách nhanh chóng, nếu sự cố xảy ra có thể giảm thiểu được thiệt hại và bất ngờ. Với thời gian khắc phục sự cố một cách nhanh nhất.
Nhằm giảm thiểu bạn phải có kế hoạch:
- Ghi lại toàn bộ các vấn đề được phát hiện đã xử lý và nguy cơ tiềm ẩn.
- Tạo các bản backup toàn bộ dữ liệu và thường xuyên kiểm tra các ổ đĩa, có giải pháp phòng sự cố khi ổ đĩa bị hỏng.
- Tổng hợp toàn bộ dữ liệu log được ghi lại đôi khi cũng phải thực hiện tạo ra các bản copy của dữ liệu đó, mặt khác bảo mật dữ liệu log cũng rấ quan trọng.
- Ngoài ra bạn phải có các chính sách nhằm nâng cao độ ổn định của hệ thống như tạo ra các kết nối dư thừa trong tình huống các kết nối chính bị ngắt do một nguyên nhân nào đó thì không ảnh hưởng tới các dịch vụ mạng.

Tổng kết
Trong bài viết này các bạn cần phải nắm được thế nào là một IDS vai trò của nó ra sao trong hệ thống mạng. Các dạng của IDS, phương thức phát hiện ra các tấn công, các hành động khi đã phát hiện ra tấn công. Giải pháp giả lập một mạng nhằm đánh lừa các kẻ tấn công ra sao. Cách giúp một hệ thống hoạt động ổn định và có những giải pháp khắc phục sự cố một cách nhanh nhất.

RefLink: http://ceh.vn/ceh3/index.php?option=com_content&view=article&id=116:ids-trong-bo-mt-h-thng-mng-&catid=16:tin-bo-mt&Itemid=105